Очень странную картинку сегодня наблюдал - суюсь в temp-каталог на сервере, сразу же взлетает AVP - мол, в директории вирус (Klez очередной модификации). Ну что ж, дело привычное, пытаюсь посмотреть владельца файла, чтобы перекрыть ему кислород (пока не вылечится) - и глаза лезут на лоб - вместо нормального имени вижу, что владельцем заражённых файлов является рабочая станция, а не пользователь! У меня правила образования имени в ZEN-е оставлены дефолтные, вот я и вижу владельцем некого 00e029567843Skorobog.LAB6.BINP, вместо правильного skorobog.LAB6.BINP.
Чешу в затылке, нахожу в списке активных пользователей этого самого .skorobog.lab6.binp и делаю ему killconn и запрещаю эккаунт. Через пару минут в том же временном каталоге - опять Klez и опять - от имени рабочей станции! Смотрю в списке соединений - да, вижу, что соединение 00e029567843Skorobog.LAB6.BINP - активно, но это же РАБОЧАЯ СТАНЦИЯ, а не юзер! Убиваю и этот коннект - всё, после этого вирусы во временном каталоге больше не появлялись. Как такое может быть вообще?